Cyberzagrożenia nie zwalniają. One rosną w skali, złożoności i częstotliwości. W odpowiedzi na to Rada Ministrów przyjęła projekt ustawy implementującej unijną Dyrektywę (UE) 2022/2555 – NIS2, której celem jest podniesienie poziomu cyberbezpieczeństwa w całej Unii Europejskiej. Nowe przepisy mają wzmocnić krajowy system cyberbezpieczeństwa oraz poprawić ochronę kluczowych usług, z których korzystają obywatele, instytucje i przedsiębiorstwa.
Poniżej omówienie najważniejszych zmian, ich znaczenia oraz rekomendacje dla firm, zwłaszcza tych z sektorów krytycznych lub objętych regulacjami.
Najważniejsze zmiany w skrócie
Obszar | Co się zmienia | Znaczenie dla firmy / podmiotu |
Rozszerzenie katalogu sektorów | Nowe sektory, takie jak gospodarka wodno-ściekowa, usługi pocztowe, produkcja żywności, chemikalia, przestrzeń kosmiczna zostają objęte KSC | Firmy w tych obszarach mogą wkrótce podlegać wymogom NIS2, nawet jeśli do tej pory były poza regulacją |
CSIRT sektorowe i krajowe | Powstanie więcej zespołów reagowania (CSIRT) dedykowanych dla danych sektorów, przy wsparciu CSIRT na poziomie centralnym | Lepsza współpraca, szybsza reakcja na incydenty i wymiana wiedzy o zagrożeniach w branży |
Wzmocnione kompetencje instytucji państwowych | Minister cyfryzacji i inne organy zyskają uprawnienia do wydawania decyzji o dostawcach wysokiego ryzyka, nakazy zabezpieczające, audyty i ostrzeżenia | Możliwość szybszej interwencji, ale też presja na przedsiębiorstwa, by reagowały sprawnie |
Podmioty kluczowe i ważne - większa odpowiedzialność | Wdrożenie systemów zarządzania bezpieczeństwem informacji, obowiązkowe szkolenia dla kierownictwa, odpowiedzialność osobista | Firmy muszą już teraz rozważyć strukturę odpowiedzialności i kompetencje bezpieczeństwa w zarządzie |
Podejście oparte na analizie ryzyka | Zamiast sztywnych wzorców technicznych - dopasowanie zabezpieczeń do poziomu ryzyka organizacji | Możliwość elastycznego podejścia, ale wymaga to dojrzałości w ocenie zagrożeń i procesów |
Dostawcy wysokiego ryzyka | Mechanizm identyfikacji i eliminacji dostawców postrzeganych jako wysokiego ryzyka (z ograniczeniem stosowania ich rozwiązań) | Wymaga rewizji relacji z dostawcami, kontraktów i łańcucha dostaw ICT |
Dlaczego to kluczowy moment?
W kontekście branży systemów bezpieczeństwa, integracji systemów i infrastruktury ICT, nowe przepisy przynoszą zarówno obowiązki, jak i nowe możliwości:
- Obowiązek dostosowania się do nowych regulacji
Firmy z sektorów objętych NIS2 (lub będące „podmiotami ważnymi/kluczowymi”) będą musiały wdrożyć kompleksowe zabezpieczenia organizacyjne i techniczne. To oznacza m.in. audyty, zarządzanie incydentami, monitoring podatności, szkolenia i raportowanie incydentów.
- Zwiększona odpowiedzialność zarządów i kierownictwa
Kierownictwo będzie pociągane do odpowiedzialności zarówno formalnej, jak i karnej, za niedopełnienie obowiązków w obszarze cyberbezpieczeństwa.
- Rosnące zapotrzebowanie na doradztwo i integrację technologii
Organizacje mniej przygotowane będą potrzebować partnerów (takich jak C&C Partners) do wsparcia w analizach ryzyka, wdrożeniach systemów bezpieczeństwa, integracji CSIRT czy audytach zgodności.
- Nowa rola Inspektora bezpiecznego łańcucha dostaw ICT
Wiele firm musi dziś przemyśleć relacje z dostawcami. Ocenić, które komponenty i usługi mogą stanowić ryzyko, a które można zastąpić alternatywami.
- Budowa zaufania i przewagi konkurencyjnej
Firmy, które już teraz pokażą gotowość do spełnienia wymogów NIS2, zyskają przewagę w kontaktach z klientami, instytucjami publicznymi i partnerami (zmniejszone ryzyko, lepsza ocena reputacyjna).
Rekomendacje: co można zrobić już dziś?
- Przeprowadź wstępną klasyfikację: sprawdź, czy Twój podmiot zostanie objęty ustawą jako kluczowy lub ważny.
- Wykonaj audyt aktualnego stanu zabezpieczeń: oceń luki i niedopasowania względem wymogów NIS2.
- Opracuj plan wdrożenia: harmonogram działań, szkolenia, budżet, zasoby, odpowiedzialności.
- Zadbaj o proces zarządzania dostawcami ICT: przeprowadź ocenę ryzyka w łańcuchu dostaw.
- Ucz się i korzystaj ze wsparcia CSIRT: bierz udział w wymianie wiedzy i reagowaniu na zagrożenia.
- Monitoruj legislację: projekt ustawy może ulec zmianom, istotne są zapisy wykonawcze i terminy.
Nowe przepisy wynikające z implementacji dyrektywy NIS2 to istotna transformacja w obszarze cyberbezpieczeństwa w Polsce. Dla wielu firm to moment, by zaktualizować systemy, struktury zarządzania i świadomość zagrożeń. W C&C Partners oferujemy wsparcie - techniczne, doradcze i integracyjne - tym podmiotom, które będą musiały dostosować się do nowej rzeczywistości.
Wiecej na ten temat przeczytasz TUTAJ!
Share on
Share on
Share on
Autor
